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Verfahren Tind Vorrichtung zum Drucken von sensitiven Daten 



Die Erf indung betrifft ein Verfahren und eine Vorrichtxang zum 
Drucken von sensitiven Daten, 



Es sind unterschiedliche Verfahren zum tJbermitteln von 
15 sensitiven Daten an eine Druckvorrichtung zum Drucken dieser 
Daten bekannt. So geht zum Beispiel aus der US 5,633,932 ein 
System \ind ein * Verfahren hervor, bei welchem sich eine 
berechtigte Person an einer Druckvorrichtung durch Eingeben 
einer Pin authentizieren muss, bevor der jeweilige 
20 Druckvorgang ausgeftihrt wird. Hierbei wird unterstellt, dass 
dann wahrend des Druckvorganges die berechtigte Person neben 
der Druckvorrichtung anwesend ist und den Druckvorgang 
tiberwachen kann. Die zu druckenden Daten werden verschltisselt 
an die Druckvorrichtung abermittelt und sobald die 
Authentizierung durch die berechtigte Person vorgenommen 
worden ist, werden sie im Drucker entschltisselt und in einer 
Druckschlange zur Bearbeitung abgespeichert . Dieses Verfahren 
ist ftir kleine Druckauf trage sehr zweckmSfiig, die jeweils von 
einer bestimmten Person Oberwacht und zur Ausftihrung gebracht 
30 werden. Wenn an einer Druckvorricht\jng grdfiere Druckauf trSge 
ausgeftihrt werden, besteht die Gefahr, dass sich eine 
berechtigte Person routinemSSig authentiziert , ohne dass die 
im Einzelfall notwendige Sorgfalt beachtet wird. Hierdurch 
kann die Funktion der Sicherheitseinrichtung eliminiert 
35 werden- Zudem sind in der Druckvorrichtung die 
entschiasselten Daten lesbar in der Druckschlange 
gespeichert, so dass die Druckvorrichtung gezielt 
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manipulierbar ist "und die sensitiven Daten entnommen warden 
k5nnen. 

Ein hierzu ahnliches Verfahren ist in der EP 1 091 285 A2 
5 beschrieben/ bei welchem sich. eine berechtigte Person aja 
einer Druckvorrichtung zu authentizieren hat, damit der 
Druckauftrag ausgeftihrt wird. Die Authentizierung erfolgt 
hierbei mittels einer Smart-Card. 

10 Aus der US-Amerikanischen Patentaraneldung US 2001/0037462- Al 
geht eine Druckvorrichtiing hervor, die ein Decodiermodul 

• aufweist, mit welchem codierte Daten decodiert bzw, 
entschiasselt werden kOnnen. Die entschltisselten Daten werden 
einer Treibereinrichtung zum Ausdruck auf einen 
15 Auf zeichnungstrager tibermittelt . Die Treibereinrichtung 
wandelt die entschltisselten Druckdaten in Steuersignale zum 
Ansteuern eines Druckkopfes der Druckvorrichtiing um. 

Beim Drucken von sensitiven Daten, wie zum Beispiel den Pins 
20 fttr Scheckkarten oder Kreditkarten, wird zunachst eine 
Diruckdatei erstellt, die die sensitiven Daten enth^lt und 
diese Datei wird verschltisselt . Dieser Vorgang erfolgt in 
einer Sicherheitszone, d.h. , in einem hermetisch 

• abgeriegelten Raum auf einem Computersystem, das wahrend des 
Betriebes von weiteren Netzwerken trennbar ist, so dass 
sichergestellt ist, dass k^ine unbefugten Dritten auf die zu 
bearbeitenden Daten zugreifen konnen. Die so erstellte 
Druckdatei wird beispielsweise mit einem Datentrager auf eine 
Druckvorrichtung tibertragen, Der Ausdruck erfolgt wiederum in 
30 einem hermetisch abgeriegelten Raum, da bei den bekeinnten 
Druckvorrichtungen die verschltisselt en Daten entschltisselt 
werden und in der Druckvorrichtung in entschltisselter Form 
lesbar vorliegen, Deshalb ist es notwendig, dass wShrend des 
Druckvorganges lediglich wenige authorisierte Personen Zugang 
35 2u der Vorrichtung haben und der Ra\am, in dem sich die 
Druckvorrichtung befindet, abgeschlossen ist. Dies hat 
j'edoch auch zur Folge, dass ein Druckauftrag mit sensitiven 
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Druckdaten nicht einfach zwischen zwei Druckauf trSgen, die 
lediglich niclit- sensitive Daten beinhalten, ausgeftihrt werden 
kann, da z\am Drucken der sensitiven Daten \amf angreiche 
SicherheitsmaiSnahmen getroffen werden massen. Dies gilt 

5 selbst, wenn die Daten auf einen Auf zeichnungstrager gedruckt 
werden, bei welchem man nach dem Druckvorgang die gedruckten 
Daten nicht ohne Zerstorung einer Hiille oder eines Siegels 
Oder eines entsprechenden anderen Sicherheitsmechanismus 
lesen kann. Derartige Auf zeichniingstrager sind zum Beispiel 

10 Umscliiage mit einem von aufien meclianisch bedruckbaren 
Einlegeblatt . Auf zeichnvingstrager mit - einem Sicherheits- 

• mechanismus, der ein Lesen von sensitiven Daten ohne 
erkennbare VerSnderung des Sicherheitsmechanismus \inm6glich 
macht, wird im folgenden als Sicherheitspapier bezeichnet. Es 
15 wird weiteres Sicherheitspapier entwickelt, das nicht nur 
mechanisch sondern auch mit einer elektrof otograf ischen 
Druckvorrichtung bedruckbar ist. 

Da bei den bekannten Druckvorrichtungen im Drucker die 
20 entschlttsselten Daten in lesbarer Form vorliegen, ist es 
nicht moglich, ohne hermetische Abriegelung der 
Druckvorrichtung einen Druckauftrag von derart sensitiven 
Daten auszufuhren. 

Es besteht ein erheblicher Bedarf an einer Druckvorrichtung, 
mit welcher sensitive Daten gedruckt werden k5nnen, ohne dass 
die Druckvorrichtiing zum Ausdruck der Daten hermetisch 
abgeriegelt werden muss, 

30 Sollen sensitive Daten in grofien Mengen gedruckt werden, so 
ist es zweckmaSig, eine elektrof otograf ische Druckvorrichtung 
zu verwenden, denn entsprechende Hochleistungsdrucker bieten 
einen hohen Durchsatz, wobei jede einzelne Seite individuell 
gedruckt werden kann. Bei elektrof otograf ischen Druckem wird 

35 mittels eines Controllers ein Zeichengenerator angesteuert, 
der entweder mit einem Laser oder mit Leuchtdioden eine 
Fotoleitertroramel belichtet, mit welcher Farbpartikel auf 
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einen Auf zeichnvingstrager tibertragen warden. In „Das 
Druckerbuch - Technik iind Technologien der OPS- 
Hochleistimgsdrucker, Ausgabe 5a, Oktober 2000, ISBN-3-00- 
001019-X sind in Kapitel 4 derartige optisch^ 
5 Zeichengeneratoren und in Kapitel 9 ein entsprechendea: 
Controller, der SRA-Controller , ziim Ansteuern von 
Zeichengeneratoren beschrieben. In Kapitel 6 sind 
Rastertechniken und deren Auswirkung auf die Druckqualitat 
eriautert . 

10 

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren ziam 

• Drucken von sensitiven Daten zu schaffen, bei dessen 
Ausftihrung an einer Druckvorrichtung es nicht notwendig ist, • 
diese hermetisch abzuriegeln. Zudem soil mit der Erfindung 
15 eine Vorrichtung zum Ausftihren dieses Verfahrens geschaffen 
warden . 

Die Aufgabe wird durch ein Verfahren mit. den Merkmaien des 
Anspruchs 1 und durch eine Vorrichtung mit den Merkmaien des 
20 Anspruclis 18 geldst. Vorteilhafte Ausgestaltungen der 
Erfindung sind in den jeweiligen Unteransprtichen angegeben. 

Das erf indungsgemaSe Verfahren zum Drucken von sensitiven 
Daten vimfasst folgende Schritte: 

Verschliisseln von zu druckenden sensitiven Daten an 
einer Arbeitsstation, 

Ubertragen der zu druckenden Daten an eine 
Druckvorrichtung, 
30 - Entschltlsseln der zu druckenden sensitiven Daten, 

Umsetzen der zu druckenden Daten in Steuersignale zum 
Ansteuern einer Druckeinheit , 

Drucken der Daten auf einen Auf zeichnungstrager , 
wobei zwischen dem Entschlusseln und dem Drucken der Daten 
35 die entschiasselten Daten nicht in einem lesbaren Format auf 
einem nicht-f Itichtigen Speichermedium gespeichert werden. 
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Sensitive Daten im Sinne der vorliegenden Erfindung sind alle 
vertraulichen bzw. geheimzuhaltenden Daten, insbesondere 
streng geheim zu haltende Daten, die nur einem streng 
begrenzten Personenkreis unter erheblichen 

5 Sicherheitsauf lagen zuganglich gemacht werden. » 

Ein nicht-f Itichtiges Speichermediiom im Sinne der vorliegenden 
Erfindung ist jedes Speichermeditim, das gespeiclierte Daten 
tiber eine unbegrenzte Zeitdauer hinweg bereithS.lt.. Ein 
10 fliichtiges SpeichermediiJin im Sinne der vorliegenden Erfindung 

• ist dagegen ein Speichermedium, das die Daten sofort 
verliert, sobald die Stromversorgung des Speichermediuitis 
eingestellt wird. 

15 Da erf indungsgemaS die zu- druckenden Daten nach der 
Entschlttsselung nicht in einem lesbaren Format auf einem 
nicht-f luchtigen Speichermedi-om gespeichert werden, liegen 
die sensitiven Daten Wcthrend der Verarbeitung in einer 
Daruckvorrichtung nicht in einem lesbaren Foarmat vor* Selbst 

20 wenn wShrend des Druckvorganges versucht wird, die 
Druckvorrichtung derart zu manipulieren, dass sie angehalten 
wird, werden die im fltichtigen Speicher gespeicherten 
sensitiven Daten automatisch gel5scht und falls die 

• sensitiven Daten auf einem nicht-f liichtigen Speichearmediiom 
gespeichert sind, sind sie in einem nicht-lesbaren Format 
gespeichert, so dass sie nicht gelesen werden konnen. 

Unter einer nicht- lesbaren Form wird im Sinne der Erfindung 
jedes Format verstanden, das nicht ohne weitere 

30 Informationen, die unzugSnglich sind, gelesen werden kann. Es 
ist z.B. bekannt, dass Betriebssysteme gewisse Dateneinheiten 
in Segmente zerstlickelt auf einem Speichermedium verteilen. 
Diese Segmente sind jedoch nur lesbar, wenn die entsprechende 
Information zum Zusammenftlhren der Segmente vorliegt. Diese 

35 Information ist jedoch in den meisten Betriebssystemen 
unzuganglich, da sie an einer ftir einen Benutzer unbekannten 
Stelle gespeichert ist. Bei der vorliegenden Erfindung ist es 
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zweckmaSig, die^e Information in einem flttchtigen Speicher zu 
speichem, so .dass bei einer Manipulation diese Information 
verloren geht und die auf dem nicht-f Itichtigen Speichermediijm 
gespeicherten Daten nicht mehr lesbar sind. 

5 • 

Die Erfindung macht es somit unmSglich, durch Manipulation an 
der Druckvorricht\ang die der Druckvorrichtung verschltisselt 
zugeftihrten Daten aus der Druckvorrichtung wShrend des 
Arbeitsprozesses des Entschltisselns bis zum Drucken auf den 
10 AufzeichnungstrSger zu entnehmen. Hierdurch ist es nicht mebr 
notwendig, beim Drucken von sensitiven Daten die 
Druckvorricbtxang in einem hermetisch eibgeschlossenen Rauia 
anzuordnen \md es kSnnen Druckauf trage mit sensitiven Daten 
Tond Druckauftrage mit nicht-sensitiven Daten, die von 
15 beliebigen Personen aufgegeben werden kOnnen, in Folge an der 
Druckvorrichtung abgesurbeitet werden. 

Das Ifinsetzen der zu druckenden Daten in Steuersignale erfolgt 
bei elektrofotografischen Hochleistungsdanickern, fiir welche 
20 das erfindungsgemaSe Verfahren vorgesehen ist, durch eine an 
sich bekannte Rasterung der zu druckenden Daten in 
Rasterbilder, welche die Steuersignale ftir einen 
Zeichengenerator darstellen. Bei erf indungsgemaSem Verfahren 
wird vorzugsweise die Entschlus selling der sensitiven Daten 
und die Rasterung derselben unmittelbar auf einanderf olgend 
ausgeftihrt und der Druckvorgang vmmittelbar folgend auf die 
Rasterung ausgefiihrt. 

Bei einer weiteren bevorzugten Aus fUhrungs form sind sensitive 
30 vmd nicht-sensitive Daten vor dem tibertragen z\ar 
Druckvorrichtung in einer Dateneinheit, insbesondere einer 
Druckdatei, gemischt angeordnet, wobei die sensitiven Daten 
durch Markierungen gekennzeichnet sind. Hierdurch xst es 
mdglich, dass beim Erstellen einer Druckdatei die sensitiven 
35 Daten vinabhangig von den nicht-sensitiven Daten bearbeitet 
werden kSnnen, so dass z.B. ein aufwendiges und umfangreiches 
Layout von beliebigen Personen ohne Sicherheitsauf lagen 
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erstellt werden kann, in das dann die xanter hohen 
Sicherheitsauf lagen erstellten sensitiven Daten verschltlsselt 
eingefugt werden. Da die Datenmenge der sensitiven Daten im 
Vergleich. zur Datenmenge der nicht- sensitiven Daten in der 
Regel wesentlich geringer ist, kann der Aufwand f\ir da^ 
Anforderungen an die Sicherheit gering gehalten werden. 
Dieses Koinbinieren von sensitiven Daten iind nicht- sensitiven 
Daten in einer Druckeinheit stellt einen selbstandigen 
Erf indungsgedanken dar. 

Die Erfindung wird nachfolgend anhemd der Zeichnungen 
beispielhaft nSher erlSutert. Die Zeichnungen zeigen 
schematiscli: 



Fig. 1 eine Arbeitsstation und eine Druckvorrichtxing zum 
Ausfahrxing des erf indixngsgema&en Verfahrens, 

Fig^ 2 schematisch den Aufbau eines Controllers der 
Druckvorrichtung aus Fig. 1, 

Fig. 3 - Fig. 6 jeweils eine Aus ftlhrimgs form des 

erf indungsgemaSen Verfahrens schematisch in einem 
Blockdiagramm . 



Fig. 1 zeigt ein System zum Ausfahren des erf indungsgemaSen 
Verfahrens. Dieses System weist eine Druckvorrichtung 1 auf, 
die mit einer Arbeitsstation 2 uber eine Datenleitung 3 
verbunden ist. 

0 An der Arbeitsstation 2 kann eine Druckdatei erstellt werden, 
die tlber die Datenleitung 3 zur Druckvorrichtung 1 geleitet 
wird. 

Die Druckvorricht-ung 1 weist einen Eingabeschacht 4 zur 
J 5 Aufnahme eines Stapels unbedruckter Auf zeichnungstrager und 
einen Ausgabeschacht 5 auf, in welchem bedruckte 
Auf zeichnungstrager abgelegt werden. Zwischen dem 
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Eingabeschaf t 4 und dem Ausgabeschaf t 5 ist ein PSrderweg 6 
ziom Befordem der Auf zeichniingstrager ausgebildet. In Fig. 1 
ist dieser FSrderweg 6 schematiscli dargestellt \ind durch 
Transportwalzen 7 begrenzt. Mittels der Transportwalzen 
warden die Auf zeichnungstrager in Forderrichtiing 8 befSrderU. 

Angrenzend an dem FOrderweg 6 ist eine Fotoleitertroinmel 9 
angeordnet. Die Fotoleitertroramel 9 wird mittels eines LED- 
Zeichengenerators 10 belichtet und Farbpartikel werden 
entsprechend der Belichtung der Fotoleitertroramel von dieser 
an einer Entwicklerstation 11 aufgenommen und auf den 
Auf zeichnungstrager ubertragen. Der Zeichengenerator 10 wird 
von einem Controller 12 gesteuert. 

Der Zeichengenerator 10, die Fotoleitertroinmel 9 und die 
Entwicklerstation 11 bilden eine Druckeinheit • 

In Fig. .1 ist die Druckvorrichtung 1 schematisch grob 
vereinfacht dargestellt, wobei bekannte Elemente, die ftlr den 
Betrieb der Druckvorrichtung notwendig sind, wie z.B. die 
Fixierexnheit , weggelassen worden sind, da sie ftir die 
Erfindung ohne Relevanz sind. 

An der Arbeitsstation 2 wird eine Druckdatei erstellt und 
diese Druckdatei wird aber die Datenleitung 3 an die 
Druckvorrichtung 1 libermittelt. Hierbei wird die Druckdatei 
beispielsweise in Foirm eines Druckdatenstromes (z.B. IPDS, 
PDF, PS, PCIi) tibermittelt • Der Controller 12 empfangt den 
Druckdatenstrom und fuhrt eine Vorverarbeitung aus, bei 
0 welcher der Druckdatenstrom in eine Zwischensprache (z.B. 
Metacommeind-List bzw. Display-List) umgesetzt wird. 

Im Controller 12 werden die Druckdaten in Steuersignale zum 
Ansteuem des Zeichengenerators 10 iimgesetzt. Diese Umsetzung 
5 der Druckdaten erfolgt bei elektrof otograf ischen 
Hochleistungsdruckern durch eine Rasterung, wobei die 
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Steuersignale Rasterbilder sind, deren Pixel unmittelbar 
einzelne LEDs des Zeichengenerators 10 ansteuem. 

Der Controller 12 weist eingangsseitig ein I/O-Modul 14 zixiti 
5 Empfemg der Druckdaten auf* Das I/O-Modul 14 ist an einen 
Datenbus, wie z.B. dem MultibusII® 15 gekoppelt. An diesem 
Datenbus 15 sind ein Entsdiltisselungsmodul 16 und eines oder 
mehrere Rastermodule 17 sowie eine Druckkopf datenausgabe 18, 
gekoppelt, die auch als Serialiser bezeichnet wird. Das bzw. 
10 die Rastermodule 17 und die Druckkopf datenausgabe 18 sind 
aber einen Pixelbus 19 miteinander verbunden, tlber den die 
gerasterten Druckdaten ubertragen werden. An der 
Druckkopf datenausgabe 18 werden die gerasterten Di^ickdaten • 
zum Zeichengenerator 10 weitergeleitet . 

15 

Nachf olgend wird eine erste Ausfuhrungsf orm des 
erf indungsgemaSen Verfahrens anhand von Fig. 3 erlautert. 

Hierbei liegen zwei Datensatze (Dataset 1 und Dataset 2) vor, 
20 wobei die Daten des einen Datensatzes (Dataset 1) nicht- 
sensitive Daten und die Daten des anderen Datensatzes 
(Dataset 2) sensitive Daten enthalten. Der Datensatz init den 
sensitiven Daten ist verschiasselt . Die beiden Datensatze 
bilden zusammen die Druckdaten. 

Die Erstellung und Bearbeitung des die sensitiven Daten 
enthaltenden Datensatzes erfolgt in einem hermetiscb 
abgeriegelten Raum. Hierbei wird der Datensatz auch 
verschiasselt . 

30 

Nach der Verschltisselung kann der die senstiven Daten 
enthaltende Datensatz mit dem die nicht-sensitiven Daten 
enthaltenden Datensatz zu Druckdaten verbunden werden. Diese 
Druckdaten werden an der Arbeitsstation 2 mittels ' einer 
35 geeigneten Anwendungs software (z.B. oce-Documentdesxgner oder 
einem Textverarbeitungsprograinm) bearbeitet, wobei z\inachst 
aus dem unverschiasselten Datensatz eine Applikations- 
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Beschreibung bzw. ein Layout ausgearbeitet wird, wobei 
Bereiche zvim Aufnehmen von verschliisselten Daten vorgesehen 
werden, die mitt els - Markierungen oder Kommandos laarkiert 
warden. Grundsatzlich kann jede Art von Koiranando oder 
Markierung verwendet werden, sofern die 

Marki erungen / Kommandos in nachf o Igenden 

Verarbeitungsschritten eindeutig interpretierbar sind. 
Insbesondere sind besondere Parameter, Flags, oder Tags, 
besondere Schreib-Kommandos und siclitbare oder nicht- 
sichtbare Kennzeichnungen, wie zxnxi Beispiel Farbe oder 
Schrif tarten, moglich. 

Im nachsten Verarbeitxingsschritt an der Arbeitsstation 2 wird 
die Druckdatei auf Gr\indlage der Applikations-Beschreibung 
und den zur Verftlgung stehenden Druckdaten formatiert. Dies 
geschieht mittels Spezial-Formater , wie zum Beispiel 
PRISMAproduction oder oc6-Windows -Application-Driver. Hierbei 
ist ' wesentlich, dass die verschliisselten Daten nicht 
entschltisselt werden, sondern als verschiasselte Datensatze 
in die Druckdatei eingeftigt werden. 

Die Erstellung der Druckdatei umfasst somit zum einen die 
tibliclie Layout- und Textbearbeitung als auch das Einfugen des 
verschliisselten Datensatzes in vorbestimmte Bereiche des 
unverschltisselten Datensatzes, Die verschliisselten Bereiche 
sind in der Druckdatei mit geeigneten Marken markiert. 

Die Druckdatei wird in Form eines Druckdatenstromes iiber die 
Datenleitung 3 an die Druckvorrichtung 1 weitergeleitet . 

Hier wird der Druckdatenstrom vom I/O-Modul 14 des 
Controllers 12 empfangen und in den Datenbus 15 eingespeist. 
Das Entschiasselungsmodul 16 liest die Druckdaten und erkennt 
anhand der Markierungen die verschliisselten Druckdaten. 

Die verschiasselten Druckdaten werden auf Anforderung der 
Rastermodule 17 von dem Verschltisselungsmodul 16 
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entschliisselt . Die derart entschliisselten Druckdaten werden 
von den Ra;stennodulen 17 nach an sich bekannten 
Rastertechniken gerastert. Die hierbei entstehenden 
Rasterbilder werden aber den Pixelbus 19 em. die 
Druckkopf datenausgabe 18 weitergeleitet . ^ 

Die Druckkopf datenausgabe 18 leitet die Rasterbilder an den 
Zeichengenerator 10 weiter, der den Druckvorgang auf einen 
Auf zeichnungstrager entsprechend den Druckdaten steuert. 

Als Auf zeichnungstrager wird vorzugsweise ein 

Auf zeichnungstrager verwendet, in dem die sensitiven Daten 
nicht ohne ZerstSrung eines Siegels oder Umschlages gelesen 
werden kSnnen. 

Altemativ ist im Rahmen der Er.findung auch moglich, die 
Rasterbilder in * elektronischer Form z.B. als Datei, eMail, 
Fax Oder dergleichen auszugeben. Da sie jedoch sensitive 
Daten enthalten, ist es bei einer derartigen Ausgabe 
notwendig, sie zu verschltisseln/ damit sie an Dritte 
weitergeleitet werden konnen. 

Bei dem obigen System liegen die entschlusselten Daten nur in 
dem den Datenbus 15, dem Pixelbus 19 und die Datenleitung 
zwischen der Druckkopf datenausgabe 18 und dem 
Zeichengenerator 10 vimfassenden Bereich vor. In diesem 
Bereich gibt es keinen nicht-f Itichtigen Speicher. Es gibt 
auch keine Dateneinheit zwischen dem Entschltisselungsmodul 16 
und der Druckkopf datenausgabe 18, die eine grOSere, 
0 entschiasselte Daten enthaltende Datenmenge xamfasst \xnd lesen 
kann. 

Das Entschltisseliangsmodul 16 steht zu den Rastermodulen 17 in 
einem ahnlichen Verhaitnis wie ein Coprozessor zu einem 
5 Prozessor, das heifit, die Rastermodule 17 Ubermitteln die 
verschltisselten Inf ormationen zum Entschltisseln an das 
Entschiasselungsmodul 16 und holen die entschltisselten Daten 
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umgehend wieder ab. Hierdurch werden die Daten nicht 
zwi s change spei chert, sondern von den Rastermodulen in 
Steuersignale zum Ansteuern einer Druckvorrichtung xungesetzt. 

Bei der Druckvorrichtung gemaS dem vorliegendega 
Ausftihrungsbeispiel wird der Speicher virtuell verwaltet und 
je nach Bedarf jede Seite neu allokiert. Die verschltisselten 
Daten und die entschliisselten Steuersignale konnen deshalb 
selbst beim direkten Lesen der Speicher nicbt in Beziehung 
gebracht werden. Die Speicherseiten beziehungsweise 
Speicherpages , die in der Kegel 4 Kilobyte groS sind, werden 
von einem eigenen Prograitim verwaltet und sind auf 
unterschiedliche Rastermodule verteilt. Die entsprechenden 
Verkett\ingsinformationen sind von aufien nicht zuganglich. Das 
Format ist maschinenspezif isch, das heilSt, auch nicht ohne 
zusatzliches Detailwissen. interpretierbar . Zudem kann mit der 
vorhandenen Ausgestaltung der Druckvorrichtung kein 
Speicherdump ausgeftihrt werden, das heifit, der Speicher kcuin 
von einem Drittien nicht gelesen werden, Hierzu musste 
zusatzliche Software eingebracht werden. Jedoch werden 
derartige Unterbrechungen und Manipulationen vom Controller 
registriert. 

Es ist somit nicht mOglich, an die sensitiven Daten durch 
Anhalten der Druckvorrichtung und Aus lesen von 
Speicherbausteinen in diesem Bereich zu gelangen. Die 
Speicherbausteine des Rastermoduls 17 enthalten jeweils nur 
Ausschnitte der Druckdaten, so dass deren Zuordnung praktisch 
unmSglich ist. 

Das Entschiasselungsmodul 16 kann vom Betreiber der 
Druckvorrichtung selbst gewShlt und durch Einstecken an einen 
entsprechenden Steckplatz hinzugeftigt werden. Derartige 
Entschlusselungsmodule sind tiblichean^eise derart ausgebildet, 
5 dass sie sich bei mecheuiischer Beeintrachtigxang selbstatig 
zerstSren. Im Rahmen der Erfindung kann es auch zweckmaSig 
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sein, die Rastermodule 17 und den Druckkopf datenausgabe 18 
entsprechend ausziibilden. 

Es kaxm auch zweckmafiig sein, dass das Entschltlsseliingsmodul 
durch einen Oder mehrere Schltissel zu aktivieren ist, so dasc 
gewahrleistet ist, dass die Druckvorrichtung nur sensitive 
Daten druckt, wenn ein oder mehrere bestimmte Operatoren 
physisch anwesend sind. Diese Schlussel konnen beispielsweise 
aber ein Bedienfeld an der Druckvorrichtung oder liber einen 
Datentrager, wie z-B. eine Chipkarte, an der Druckvorrichtung 
1 eingegeben werden. 

Weiterhin ist es zweckmaSig, an der Druckvorrichtxing in den 
Eingabeschacht 4 eingelegtes Sicherheitspapier entsprechend 
tiber eine Eingabe am Bedienfeld zu kennzeichnen, wobei ein 
Operator dies nur unter vorheriger Authentif izier\ang mittels 
eines "Schltlssels ausftihren darf . Hierdurch wird 
sichergestellt, dass sensitive Daten nur auf entsprechende 
Auf zeichnungstrager gedruckt werden. 

Alternativ ist es mSglich, einen Sensor zu Detektion eines 
entsprechenden Sicherheitspapieres am FSrderweg 6 im Bereich 
vor der Fotoleitertroinmel 9 vorzusehen, so dass der 
Druckvorgang von sensitiven Daten automatisch gestoppt wird, 
wenn ihiti lediglich ein herkoinmlicher Auf zeichnungstrager 
zugefahrt werden sollte. 

Bei obigem Ausf lihrungsbeispiel sind ein Entschiasselungsmodul 
16 und ein oder mehrere Rastermodule 17 vorgesehen. Im Rahmen 
0 der Erfindung ist es auch moglich, die Berechnungen zum 
Entschiasseln der verschltisselten Daten mit den Berechnungen 
zxam Rastern von Druckdaten zu verbinden und in einem 
kombinierten Entschliisselungs-/Rastermodul auszuftihren. 

5 Die Ausftihrungsform des erf indungsgemSLSen Verfahrens gemaS 
Fig. 4 entspricht im Wesentlichen dem aus Fig. 3. Diese 
unter scheidet sich lediglich im Entwurf und in der 
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Formatierung der Applikation. Bei der Applikations- 
BeschreibTxng (Layout) warden nur die imverschlUsselten Daten 
beracksichtigt . FiXr die verschliisselten Daten sind 
entsprechende Leerflachen vorzusehen. 

Diese Leerflachen far die verschlusselten Daten k5nnen durch 
Platzhalter erzeugt warden, um das vollstandige Design 
visualisieren zu konnen. Hierzu ist es zweckmafiig, geeignete 
Markierungen zu verwenden. Zudem kann die Markierung auch als 
„Positionier- oder Fontiatierungshilf e^^ verwendet werden. 

Bei der Formatierung der Applikation wird die Applikation auf 
Basis der Applikations-Beschreibung (Layout) und den zur • 
Verftigung stehenden Druckdaten formatiert. Dies kann mittels 
Spezial-Formater, wie z.B. PRISMAproduction oder oce-Windows- 
Applicationdriver ausgeftihrt werden. 

Bei- der Ausftihrungsf orm des erf indungsgemaSen Verfahrens 
gemas Fig. 5 gibt es Unterschiede im Vergleich zu der 
Ausfahrungsform aus Fig. 3 beim Entwurf der Applikation und 
bei der Formatierung und Versclilusselung der Applikation. 
Insbesondere werden die zu verschliisselnden Daten erst nacb 
der Erzeugung der Druckapplikation bzw. Druckdatei selektiv 
verschliisselt . 

In der Applikations-Beschreibung (Layout) . werden die 
sensitiven und die nicht-sensitiven Daten durch gesonderte 
Markierung gekennzeichnet . Prinzipiell kann jede Art von 
Kommando oder Markierung verwendet werden, sofem sie in den 
0 nachsten Verarbeitungsstuf en eindeutig interpret ierbar" ist. 
Insbesondere konnen hierzu besondere Parameter, Flags oder 
Tags, (Schreib-)Kommandos oder sichtbare oder nicht-sichtbare 
Kennzeichnungen, wie z.B. Farbe oder Schriftarten verwendet 
werden . 

Nach der Formatierung werden die sensitiven Daten anhand der 
Markierungen selektiv verschlilsselt . 
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Die in Fig. 6 gezeigte Ausftthrungsf orm des erf indxingsgemaSen 
Verfahrens entspricht . im Wesentlichen der in Fig. 5 gezeigten 
Ausfahrungsform, wobei jedoch beim Entwurf der Applikation 
und bei der Formatierung der Applikation weder Kommandos nocja 
Markierungen zur Kennzeichnung der verschltisselten Daten 
gesetzt werden, sondern die gesamte Applikation bzw. 
Druckdateien verschltisselt wird. 

Die bei der obigen Ausfahrungsf orm verwendete Druck- 
vorrichtung ist ein elektrof otograf ischer 

Hochleistungsdrucker . Derartige Hochleistxingsdrucker konnen 
400 DIN 4-Seiten pro Minute und mehr bedrucken. 

Die Erfindung kann folgendeirmaSen kurz zusammengef asst 
werden: 

Die Erfindung betrif ft ein Verfahren und eine Vorrichtung zum 
Drucken von sensitiven Daten. 

Erf indungsgeitiaS werden die Daten nach der Entscbiasselung in 
der Druckvorrichtung nicht in einem nicht-f lUchtigen Speicher 
gehalten, sondern im Wesentlichen ohne Zwischenspeicberung 
sofort in Steuersignale zum Ansteuern einer Druckeinheit 
umgesetzt und der Druckeinheit zugeleitet. 

Hierdurch ist es nicht moglich, durch Manipulation an der 
Druckvorrichtung die entschliisselten Daten zu lesen. 
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Druckvor r i chtung 


2 


2 Arbeitsstationen 


3 


Datenleitung 


A 

'St 




5 


Ausgabeschacht 


6 


Forderweg 


7 


Transport-OC 


8 


FSrderrichtung 


9 


Fotoleitertrononel 


10 


LED-Zeicliengenerator 


11 


Entwickler Stat ion 


12 


Conroller 



14 I/O-Modul 

15 Datenbus ' 

16 Entschltlsselungsmodul 

17 Rastermodul 

18 Druckkopfdatenausgabe 

19 Pixelbus 
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Patentansprtiche 

1. Verfahren z\im Drucken von sensitiven Daten, \unfassend die 
folgenden Schritte, 

Verschltisseln von zu druckenden sensitiven Daten aja 

einer Arbeitsstation {2) , 

Ubertragen der zu druckenden Daten an eine 
Druckvorrichtung (1) , 

Entschlusseln der zu druckenden sensitiven Daten, 
Umsetzen der zu druckenden Daten in Steuersignale zum 
Ansteuem einer Druckeinheit (9/10,11), 
Drucken der Daten auf einen Auf zeichnungstrager, 
wobei zwischen dem Entschltisseln und dem Drucken der Dateh 
die entschlflsselten Daten nicht in einem lesbaren Format auf 
einem nicht- fltlchtigen Speichermedium gespeichert werden. 

2 . Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet, 

dass die entschltisselten Daten zwischen dem Entschltisseln und 
dem Drucken in einem fltlchtigen Speicher, wie z,B. einem RAM, 
gespeichert werden. > 

3. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass die entschlUsselten Daten zwischen dem Entschlasseln und 
dem Drucken in einem nicht- fltlchtigen Speicher gespeichert 
yzerden, wobei die Daten auf mehrere Speicher segmente verteilt 
sind und deren Zuordnung unabhangig von den Daten, 
vorzugsweise im RAM, gespeichert ist. 

4. Verfahren nach einem der Ansprtlche 1 bis 3, 
dadurch gekennzeichnet, 

dass die sensitive Daten enthaltenden Steuersignale in einem 
fltlchtigen Speicher, wie z.B. einem RAM, gespeichert werden. 

5 . Verfahren nach einem der Ansprtlche 1 bis 3 , 
dadurch gekennzeichnet, 
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dass die sensitiven Daten enthaltenden Steuersignale in einem 
nicht-f Itlchtigen Speicher gespeichert werden, wobei die Daten 
auf mehrere Speichersegmente verteilt sind und deren 
Zuordnung unabhangig von den Daten, vorzugsweise in einem 
5 fltichtigen Speicher, gespeichert ist. 



6. Verfahren nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, 

dass das Entschltisseln und das Umsetzen in Steuersignale 
10 zeitlich unmittelbar auf einanderf olgend ausgeftthrt wird. 

?• Verfahren nach einem der AnsprUche 1 bis 5, 
dadurch gekennzeichnet, 
dass das Entschltlsseln und das Umsetzen in Steuersignale in 
15 einem Controller (12) zum Ansteuem eines Zeichengenerators 
(10) ausgeftihrt wird. 

8. Verfahren nach einem der Ansprtlche 1 bis 7, 

dadurch gekennzeichnet, 
20 dass die zu druckenden Daten an die Druckvorrichtung in Form 
- . eines Druckdatenstromes, wie z.B. IPDS, PDF, PCL oder PS, 

tibertragen werden, 

in der Druckvorrichtung der Druckdatenstrom in eine 
Zwischensprache tibersetzt wird, umd 

die Daruckdaten in der Zwischensprache entschltisselt und in 
Steuersignale umgesetzt werden. 

9 . Verfahren nach einem der Anspruche 1 bis 8 , 
dadurch gekennzeichnet, 
30 dass die Druckdaten sowohl sensitive Daten als auch nicht 
sensitive Daten enthalten. 



10. Verfahren nach Anspruch 9, 
dadurch gekennzeichnet, 
35 dass die sensitiven und die nicht-sensitiven Daten vor dem 
tJbertragen zur Druckvorrichtung zu einer Dateneinheit , wie 
z.B. einer Druckdatei, verbianden werden. 
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11 . Verf ahren nach Anspruch 10 , 
dadurch gekennzeichnet, 

dass die sensitiven Daten in der Dateneinheit durch 
Markierungen gekeionzeichnet werden. » 

12. Verf ahren nach Anspruch 10 oder 11, 
dadurch gekennzeichnet, 

dass anhand der nicht-sensitiven Daten ein Layout erstellt 
wird, das Bereiche zum Aufnehmen von sensitiven Daten 
-umfasst . 

13. Verf ahren nach einem der AnsprUche 10 bis 11, , 
dadurch gekennzeichnet, 

dass die sensitiven Daten bereits vor dem Kombinieren zu 
einer Dateneinheit mit den nicht-sensitiven Dateri 
verschltlsselt werden. 

14. Verf ahren nach einem der AnsprUche 10 bis 11, 
dadurch gekennzeichnet, 

dass die sensitiven Daten nach dem Kombinieren zu einer 
Dateneinheit mit den nicht-sensitiven Daten versctilttsselt 
werden . 

15. Verf ahren nach Anspruch 14, 
dadurch gekennzeichnet, 
dass nur die sensitiven Daten verschlttsselt werden. 

16. Verf ahren nach Anspruch 14, 

0 dadurch gekennzeichnet, 

dass sowohl die sensitiven als auch die nicht-sensitiven 
Daten verschltlsselt werden. 

17. Verf ahren nach einem der Ansprttche 1 bis 16, 
5 da d u rch gekennzeichnet, 

dass das Umsetzen der zu druckenden Daten in Steuersignale 
zum Ansteuem einer Druckeinheit durch Eastern der zu 



2003-0701 DE 



20 




druckenden Daten in ein oder mehrere Rasterbilder ausgftihrt 
wird, wobei die Rasterbilder die Steuersignale darstellen. 

18. Vorrichtxmg zum Drucken von sensitiven Daten geiaaS dem 
Verfahren nach einem der Anspriiche 1 bis 17, mit 
einer Druckeinheit (9,10,11), 

einem Controller (12) zxim Ansteuem der Druckeinheit, 
wobei der Controller (12) zum Empfangen eines 
Druckdatenstromes ausgebildet ist, der verschlUsselte . Daten 
beinhalten kann, und dass die sensitiven Daten entschliisselt 
und in Steuersignale z^Ha Ansteuern der Druckeinheit umgesetzt 
werden, wobei die entschliisselt en Daten nicht in einem 
lesbaren Format auf einem nicht- fltichtigen Speichermedium 
gespeichert werden. 

19. Vorrichtung nach Anspruch 18, 
dadurch gekennzeichnet, 

dass die Druckeinheit eirien Zeichengenerator (10) aufweist. 

20. Vorrichtung nach Anspruch 18 oder 19, 
dadurch gekennzeichnet, 

dass die Vorrichtuhg ein elektrof otograf ischer 
Hochleistungsdrucker ist . 

21. Vorrichtung nach einem der Ansprtiche 18 bis 20, 
dadurch gekennzeichnet, 

dass der Controller (12) ein Entschltisselxingsmodul (16) und 
eines oder mehrere Rastenaodule (17) aufweist. 

22. Vorrichtung nach einem der Ansprtiche 18 bis 20, 
d ad urch gekennzeichnet, 

dass der Controller (12) ein kombiniertes Entschltisselungs- 
/Rasteinnodul aufweist. 

35 23. Vorricht\ang nach einem der Anspi^che 18 bis 22, 
dadurch gekennzeichnet. 



30 
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dass der Controller (12) nur flttchtige Speichermedien 
aufweist. 

24. Vorrichtung nach einem der Ansprtiche 18 bis 23, 
dadurch. gekennzeichnet, 

dass an einem FSrderweg (6) fiir Auf zeichnungstrager im 
Bereich vor der Druckeinheit (9,10,11) ein Sensor z\am 
detektieren von Auf zeichnungstragern mit vorbestimmten 
Sicherheitsmerkmalen angeordnet ist, so dass bei der 
Detektion von Auf zeichnungstragern ohne Sicherheitsmerkmale 
das Drucken von sensitiven Daten gestoppt werden kann. 
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ZusammenfassTuig 



Die Erfindung betrifft ein Verfahren land eine Vorrichtxmg zum 
Druckeu von sensitiven Daten. 

Erf indungsgemaS werden die Daten nach der Entschiasselxing in 
der Druckvorrichtung nicht in einem nicht-f lachtigen Speicher 
gehalten, sondem im Wesent lichen ohne Zwischenspeiclierung 
sofort in Steuersignale z\im Ansteuern einer Druckeinheit 
umgesetzt \ind der Druckeinheit zugeleitet. 

Hierdurch ist es nicht mttglich, durch Manipulation an der 
Druckvorrichtung die entschlttsselten Daten zu lesen. 



Hierzu Fig. 2 
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